Ausführen verbieten und Laufwerk C verweigern

[Amsel1990]

Hallo zusammen,

ich habe zwei Probleme noch, die ich gerne Lösen würde.

SBS 2011 mit Domäne
Windows 7 Clients

1) ICh möchte irgendwie Ausführen verbieten. Es gibt dafür eine passende Option in der GPO, doch die hat einen Bug. User können so keinen direkten Netzwerkpfad mehr aufrufen, es kommt immer Zugriff verweigert. Doch wie blende ich nun Ausführen aus für Domönenbenutzer?

2) Es gibt in der GPO 2 Optionen, einmal Zugriff verweigern und einmal nur das Laufwerk ausblenden. Zugriff verweigern bringt den Bug mit sich, das ich auf den Desktop keine Dateien mehr per rechte Maustaste verschieben kann. Option zwei, also das reine ausblenden ist sehr nutzlos, weil man immer noch den Buchstaben eingeben kann. Doch wie verbiete ich nun den Zugriff für Domänenbenutzer?

vielen Dank im Voraus.

Manuel

 

[st3ff3nR]

Hallo,

Hast du schon einmal nach AppLocker im System gesucht? Vielleicht hilft es ja weiter. Habe eben mal im System geschaut.

Systemsteuerung\Alle Systemsteuerungselemente\Verwaltung\Lokale Sicherheitsrichtlinien\Anwendungsrichtlinen\AppLocker\ und dann vielleichte ne Ausführbare Regel erstellen.

Gruß

 

[Frightener]

Schreibe bitte mal genauer, was Du wo verhindern möchtest, und welche GPOs Du meinst.

 

[Sty!a]

ausführen ausblenden -> User Configuration\Policies\Administrative Templates\Start Menu and Taskbar\Remove Run menu from Start Menu.

Bitte daran denken, dies auch der richtigen OU zu zuweisen und beachte die bereitgestellten GPO Templates, welche neuangelegten GPOs übergeordnet sind. Du müsstest, wenn ich mich richtig erinnere, die Windows 7 Templates bearbeiten.

Was du machen könntest, wäre den Users Home-Verzeichnisse sowie eine Ordnerumleitung einzurichten. Wenn User XY dann eine Veränderung vornimmt, dann nur an seinem eigenen Profil welches bei jedem Start vom Server bereitgestellt wird. Somit wird die HDD C: nur bedingt berühret. Der Zugriff auf C: komplett sperren ist meines Wissens nicht möglich da weiterhin TEMP Daten dort geschrieben werden und abgerufen werden.

 

[Amsel1990]

Danke, das Problem ist aber schon die BEschreibung der Gruppenrichtlinie

Ermöglicht das Entfernen des Befehls "Ausführen" aus dem Startmenü, aus Internet Explorer und aus dem Task-Manager.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden die folgenden Änderungen vorgenommen:

(1) Der Befehl "Ausführen" wird aus dem Startmenü entfernt.

(2) Der Befehl "Neuer Task (Ausführen)" wird aus dem Task-Manager entfernt.

(3) Der Benutzer kann Folgendes nicht in die Adressleiste von Internet Explorer eingeben:

--- Ein UNC-Pfad: \\<Server>\<Freigabe>

--- Zugriff auf lokale Laufwerke: z. B. "C:"

--- Zugriff auf lokale Ordner: z. B. "\temp>"

Benutzer mit erweiterter Tastatur können außerdem das Dialogfeld "Ausführen" nicht mehr über die Tastenkombination Anwendungstaste (die Taste mit dem Windows-Logo)+R aufrufen.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer auf den Befehl "Ausführen" im Startmenü und im Task-Manager zugreifen und die Adressleiste von Internet Explorer verwenden.

Also ich kann dann im Windows Explorer keinen UNC Pfad mehr aufrufen. Weiß ja nicht, aber wir arbeiten derzeit noch viel damit. Oder sollten wir uns das abgewöhnen?

Komisch ist nur, die UNC Pfade sperrt er aber über Netzwerkumgebung kann ich dennoch auf alles zugreifen.

 

[Sty!a]

Du kannst über die GPO "Gesamtes Netzwerk aus Netzwerkumgebung ausblenden" aktivieren um das Netzwerk entsprechend ausblenden zu lassen.

 

[Amsel1990]

Und denkst du, das macht sin in einem unternehmen? Da bin ich mir Grade nicht sicher. Mit öffentlichen Ordnern arbeiten wir eigentlich nicht.

 

[Sty!a]

Sofern die Laufwerke mit vernünftigen NTFS-Rechten versehen sind z.B auf den Ordner für die Geschäftsführung, kann auch nur die Geschäftsführung zugreifen, dann nicht.

Wenn mit losen Rechten gearbeitet wird ja. Nicht jeder Benutzer weiß, wie man UNC-Pfade verwendet.